Présentation

La console d’administration permet à un administrateur système de configurer les domaines utilisés pour la connexion par l’intermédiaire de Federated ID pour l’authentification unique (SSO). Une fois la propriété d’un domaine prouvée à l’aide d’un jeton DNS, le domaine peut être configuré pour permettre aux utilisateurs de se connecter à Creative Cloud. Les utilisateurs peuvent se connecter à l’aide d’adresses électroniques au sein de ce domaine via un fournisseur d’identité (IdP). Le processus est fourni en tant que service logiciel exécuté au sein du réseau de l’entreprise et accessible depuis Internet ou en temps que service cloud hébergé par un tiers qui autorise la vérification des informations de connexion utilisateur par le biais de la communication sécurisée à l’aide du protocole SAML.

Un tel IdP est Shibboleth. Pour utiliser Shibboleth, vous devez utiliser un serveur accessible par Internet et ayant accès aux services d’annuaire du réseau de l’entreprise. Ce document décrit le processus de configuration de la console d’administration et un serveur Shibboleth pour pouvoir se connecter aux applications Adobe Creative Cloud et aux sites Web associés pour l’authentification unique.

L’accès au fournisseur d’identité est généralement effectué à l’aide d’un réseau indépendant pour lequel des règles spécifiques sont configurées, de manière à permettre uniquement certains types de communications entre les serveurs et le réseau interne et externe, appelé DMZ ou zone démilitarisée. La configuration du système d’exploitation sur ce serveur et la topologie d’un tel réseau ne sont pas traitées dans ce document.

Conditions préalables

Avant de configurer un domaine pour l’authentification unique à l’aide du fournisseur d’identité Shibboleth, les conditions suivantes doivent être réunies :

  • Un domaine approuvé pour votre compte d’entreprise Adobe. L’état du domaine dans la console d’administration Adobe doit être Configuration requise.
  • La dernière version de Shibboleth est installée et configurée.
  • Tous les comptes d’Active Directory à associer à Creative Cloud pour le compte Enterprise possèdent une adresse électronique figurant dans Active Directory.

Remarque :

Les étapes de configuration du fournisseur d’identité Shibboleth avec Adobe SSO décrites dans ce document ont été testées avec la version 3.

Configuration de la console d’administration Adobe

Pour configurer le fournisseur d’identité Shibboleth sur la console d’administration, suivez les étapes ci-dessous :

  1. Dans la console d’administration, accédez à Paramètres > Identité.

    La page Identité répertorie les domaines de votre organisation.

  2. Cliquez sur le nom du domaine que vous souhaitez configurer.

  3. Cliquez sur Configurer SSO.

    L’assistant de configuration du domaine s’ouvre.

    Configuration du domaine
  4. Pour télécharger le certificat de l’IdP, cliquez sur Télécharger et accédez au fichier de certificat :

    %{idp.home}/credentials/idp-signing.crt

  5. Définissez Liaison à l’IDP sur Rediriger.

  6. Pour Paramètre de connexion utilisateur, sélectionnez Adresse électronique.

  7. Saisissez l’URL suivante dans le champ Éditeur de l’IDP :

    https://<claimed domain server name:port>/idp/shibboleth

  8. Saisissez l’URL suivante dans le champ URL de connexion à l’IDP :

    https://<nom du serveur de domaine réclamé:port>/idp/profile/SAML2/Redirect/SSO

  9. Cliquez sur Terminer la configuration.

  10. Pour télécharger le fichier de métadonnées XML SAML, cliquez sur Télécharger les métadonnées.

    Après avoir téléchargé le fichier de métadonnées, vous devez mettre à jour le fichier pour vous assurer que les informations correctes sont transmises à Adobe.

    Remplacez les lignes suivantes dans le fichier :

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Par :

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

  11. Cliquez sur Activer le domaine.

    Votre domaine est désormais actif.

Configurer Shibboleth

Après avoir téléchargé le fichier de métadonnées XML SAML depuis la console d’administration Adobe, suivez les étapes ci-dessous pour mettre à jour les fichiers de configuration Shibboleth.

  1. Copiez le fichier de métadonnées téléchargé vers l’emplacement suivant, puis renommez-le adobe-sp-metadata.xml :

    %{idp.home}/metadata/

  2. Modifiez le fichier attribute-filter.xml.

    Le prestataire de services Adobe nécessite le prénomle nom et l’adresse électronique de l’utilisateur dans la réponse SAML.

    Modifiez le fichier %{idp.home}/conf/attribute-filter.xml pour inclure les attributs FirstName, LastName et Email en insérant le nœud AttributeFilterPolicy comme indiqué ci-dessous (lignes 17 à 31) :

    <?xml version="1.0" encoding="UTF-8"?>
    <!-- 
        This file is an EXAMPLE policy file.  While the policy presented in this 
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
        
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
            xmlns="urn:mace:shibboleth:2.0:afp"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
    
        <!-- Release some attributes to an SP. -->
        <AttributeFilterPolicy id="AdobeSP">
            <PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spi852ccrrph9JfWw0h7" />
    
            <AttributeRule attributeID="FirstName">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
    
            <AttributeRule attributeID="LastName">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
    
            <AttributeRule attributeID="Email">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
        </AttributeFilterPolicy>
       
    
    </AttributeFilterPolicyGroup>
  3. Modifiez le fichier metadata-providers.xml.

    Mettez à jour le fichier %{idp.home}/conf/metadata-providers.xml avec l’emplacement du fichier de métadonnées adobe-sp-metadata.xml (ligne 29 ci-dessous) que vous avez créé à l’étape 1 ci-dessus.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Dépanner l’installation de Shibboleth

Si vous ne parvenez pas à vous connecter à adobe.com, recherchez les problèmes potentiels dans les fichiers de configuration Shibboleth suivants :

1. attribute-resolver.xml

Le fichier de filtre d’attributs que vous avez mis à jour lors de la configuration de Shibboleth définit les attributs qui doivent être fournis au fournisseur de services Adobe. Toutefois, vous devez associer ces attributs aux attributs appropriés, tels que définis dans LDAP / Active Directory pour votre entreprise.

Modifiez le fichier attribute-resolver.xml à l’emplacement suivant :

%{idp.home}/conf/attribute-resolver.xml

Pour chacun des attributs suivants, définissez l’ID de l’attribut source tel qu’il est défini pour votre entreprise :

  • FirstName (ligne 1 ci-dessous)
  • LastName (ligne 7 ci-dessous)
  • Email (ligne 13 ci-dessous)
    <resolver:AttributeDefinition id="Email" xsi:type="ad:Simple" sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="Email" encodeType="false" />
    </resolver:AttributeDefinition>
    
    <resolver:AttributeDefinition id="LastName" xsi:type="ad:Simple" sourceAttributeID="sn">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:sn" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="LastName" encodeType="false" />
    </resolver:AttributeDefinition>
    
    <resolver:AttributeDefinition id="FirstName" xsi:type="ad:Simple" sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:givenName" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="FirstName" encodeType="false" />
    </resolver:AttributeDefinition>

2. relying-party.xml

Mettez à jour le fichier relying-party.xml à l’emplacement suivant pour prendre en charge le format de saml-nameid requis par le prestataire de services Adobe :

%{idp.home}/conf/relying-party.xml

Mettez à jour l’attribut p:nameIDFormatPrecedence (ligne 7 ci-dessous) pour inclure emailAddress.

    <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty">
        <property name="profileConfigurations">
            <list>
                <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML1.AttributeQuery" />
                <ref bean="SAML1.ArtifactResolution" />
                <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML2.ECP" />
                <ref bean="SAML2.Logout" />
                <ref bean="SAML2.AttributeQuery" />
                <ref bean="SAML2.ArtifactResolution" />
                <ref bean="Liberty.SSOS" />
            </list>
        </property>
    </bean>

3. saml-nameid.xml

Mettez à jour saml-nameid.xml à l’emplacement suivant :

%{idp.home}/conf/saml-nameid.xml

Mettez à jour l’attribut p:attributeSourceIds (ligne 3 ci-dessous) sur "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Test d’authentification unique

Créez un utilisateur de test avec Active Directory, créez une entrée sur la console d’administration pour cet utilisateur et assignez-lui une licence, puis testez l’ouverture d’une session sur Adobe.com pour confirmer que le logiciel approprié est disponible au téléchargement.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne